Archiv für EDV

Kontohack nach Behrendt

Aus einem Interview mit dem Berliner Justizsenator Dirk Behrendt (Die Grünen) und dem von der Partei geschassten Volker Beck (Die Grünen): Weiterlesen

Schwärzen von Dokumenten

Ab und an erhalte ich PDFs zugemailt, welche eingescannte Dokumente enthalten, in denen Teile wie Namen, Anschriften etc. vor dem Scannen mit Filzstift geschwärzt wurden und bei denen ich dann meistens feststelle, daß zwar die Intention des Schwärzens vom Ersteller vollkommen richtig war, aber das Ergebnis rundweg in die Hose gegangen ist, da die geschwärzten Teile ohne irgendwelche Tricks gut lesbar sind. Auch im Internet findet man solche Dokumente immer mal wieder. … Weiterlesen

„Für Sicherheit braucht man nur Mitarbeiterschulungen“

Ein Artikel mit eben diesem unsinnigen Titel „Für Sicherheit braucht man nur Mitarbeiterschulungen“ kam gestern auf Zeit-Online. Sicherheit ist niemals eine intrinsische Eigenschaft einer Entität, sondern es kann sie immer nur in Bezug auf etwas Anderes geben (sicher vor Diebstahl, Feuer, Asteroideneinschlägen etc.). Somit ist Sicherheit immer ein System von Maßnahmen im Hinblick auf bestimmte Angriffsvektoren. Daher ist allein unter diesem allgemeinen Gesichtspunkt die Aussage grob falsch, aber auch im engeren Sinne nur bezogen auf Datensicherheit reichen Mitarbeiterschulungen allein bei weitem nicht aus. Bestes Beispiel sind die Einbrüche in EDV-Anlagen über Softwarelücken. Selbst beste Schulungen können diese nicht verhindern. Mitarbeiterschulungen verbessern zwar das allgemeine Sicherheitsniveau, aber ohne jegliche technische Maßnahmen wird es nicht gehen. … Weiterlesen

4.294.967.295 Mails heruntergeladen

Bei manchen Erfolgsmeldungen bin ich dann doch auf’s Erste sehr beruhigt, daß sie vollkommen falsch sind:

4294967295 Mails heruntergeladen

Erfolgdsmeldung aus Thunderbird 45.4: „4294967295 Mails heruntergeladen“


Irgendwie läuft da intern manchmal ein Zähler einer vorzeichenlosen Integervariablen über, denn 4.294.967.295 sind genau 232-1.

Provider dürfen Vorratsdatenspeicherung auslagern

Golem schreibt gerade darüber, daß es gemäß der Bundesnetzagentur den Providern erlaubt sein wird, einen externen Dienstleister im Innland mit der Durchführung der Vorratsdatenspeicherung (VDS) zu beauftragen. Weiterlesen

Gedanken zum Vorschlag „Web Key Service“ für die vereinfachte Schlüsselverteilung bei PGP

Der derzeitige GnuPG-Entwickler Werner Koch hat auf der OpenPGP.conf ein neuartiges Verfahren namens Web Key Service für die Verteilung der öffentlichen PGP-Schlüssel zur Diskussion vorgestellt. Hierbei sollen die Schlüssel vom Mailprovider über eine eindeutige URL, die den Hashwert der e-Mailaddresse enthält, über https direkt an das Mailprogramm ausgeliefert werden. Die Schlüsselverteilung erfolgt somit automatisiert ohne Eingriff des Nutzers (Golem, heise).

Das Problem des Auffindens des richtigen Schlüssels des Kommunikationspartners ist durchaus real, auch weil prinzipbedingt aus kryptografischer Sicht eine Interaktion beider Kommunikationspartner zwingend erforderlich ist. Die Übermittlung vom Fingerabdruck des Schlüssels und der Abgleich mit dem des aufgefundenen Schlüssels lässt sich nicht ohne Eingriff des Benutzers vollziehen. Dennoch, abseits der rein technischen Spezifikationen, scheint mir die reine Schlüsselverteilung nicht das Problem zu sein, welches die Ursache für den fehlenden Einsatz von Verschlüsselung in der e-Mailkommunikation darstellt, auch wenn die vorgeschlagene Spezifikation in die richtige Richtung zielt. Weiterlesen

Edward Snowden sagte ffdae96f8dd…

Die Welt und Andere rätseln über einen scheinbar kryptischen, nach kurzer Zeit gelöschten Tweet von Edward Snowden. Weiterlesen

Keylogger-Affäre in der taz

Anfang 2015 kam heraus, daß mehrere Computer in der taz mehr als ein Jahr lang von einem Mitarbeiter mittels Keylogger (Gerät zum Mitschreiben aller Tastaturanschläge) ausgespäht wurden. Jetzt hat die taz in einem längeren Artikel den rekonstruierten Ablauf der Geschehnisse in chronologischer Folge veröffentlicht. Hier nun ein paar Anmerkungen zu dem dort Gesagten. Weiterlesen

Bitkom-Ergebnisse zum Stand der Verschlüsselung

Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:

Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.

Weiterlesen

Alleinstellungsmerkmal: Offizielle Hintertür

Eine Arbeitsgruppe unter Federführung des amerikanischen Kryptologen und Gründer der International Association for Cryptologic Research (IARC), David Chaum, hat ein neues Verschlüsselungssystem unter dem Namen PrivaTegrity vorgestellt (Die Zeit, Wired), welches sicherer und schneller als bisherige Syteme wie Tor sein soll. Einerseits soll die Anonymität aller Kommunikationspartner gewährleistet sein, resourcenschonend genug, um auch auf Mobiltelefonen ohne relevanten Zeitverlust verwendbar zu sein, aber gleichzeitig staatlichen Stellen grundsätzlich die Möglichkeit der Identifikation einzelner Teilnehmer bieten, ohne jedoch eine Massenbespitzelung zu ermöglichen. Das dahinter stehende neue Netzwerkprotokoll erhielt den Namen cMix [1] (erinnert nicht zufällig an alte Mixmaster-Systeme). Um einen Mißbrauch der Hintertür auszuschließen schlägt er eine Aufteilung der Verantwortlichkeit auf mehrere räumlich und vor allen Dingen juristisch voneinander getrennte Administratoren vor. Konkret will er neun Server in verschiendenen Ländern, genannt werden beispielhaft Island, Kanada und die Schweiz, positionieren. Jeder dieser Server soll seiner Auffassung nach eine Richtlinie publizieren unter welchen Bedingungen eine Kooperation mit den anderen Stellen zur Aufhebung der Anonymität eingegangen wird. Nur wenn alle neun Serveradmins kooperieren soll diese aufhebbar sein und eine Nachricht zum Sender zurückverfolgbar sein, so die Vorstellung. Im Grunde handelt es sich also um eine Schlüsselhinterlegung (key escrow) nach dem Mehraugenprinzip. Ein Prototyp wurde in der Programmiersprache Python erstellt und läuft bereits auf Amazons Clouddienst. Weiterlesen